当前位置: 首页 > 行业资讯 > 网络安全日报 2024年06月14日

网络安全日报 2024年06月14日

发表于:2024-06-14 08:26 作者: 合天网安实验室 阅读数(1565人)

1、VBEM平台身份认证绕过漏洞利用代码被公开

https://summoning.team/blog/veeam-enterprise-manager-cve-2024-29849-auth-bypass/

一个针对Veeam Backup Enterprise Manager身份验证绕过漏洞(CVE-2024-29849)的概念验证(PoC)利用代码现已公开,使管理员必须紧急应用最新的安全更新。Veeam Backup Enterprise Manager(VBEM)是一个基于Web的平台,用于通过Web控制台管理Veeam Backup & Replication安装。它有助于控制备份任务并在组织的备份基础设施和大规模部署中执行恢复操作。Veeam于5月21日发布了一份关于这一关键漏洞的安全公告,警告该漏洞允许远程未认证的攻击者以任何用户身份登录VBEM的Web界面。供应商敦促其客户通过升级到VBEM版本12.1.2.172来解决该问题,同时还为那些无法立即应用更新的客户提供了缓解措施。

2、Google警告Pixel固件中存在已被利用的零日漏洞

https://source.android.com/docs/security/bulletin/pixel/2024-06-01

Google警告称,影响Pixel固件的安全漏洞在野外被作为零日漏洞利用。这个高严重性漏洞被标记为CVE-2024-32896,被描述为Pixel固件中的权限提升问题。该公司未分享任何与利用此漏洞的攻击性质相关的详细信息,但指出“有迹象表明CVE-2024-32896可能正在有限的、针对性的利用中。2024年6月的安全更新解决了总共50个安全漏洞,其中五个涉及高通芯片组的各种组件。

3、BlackBerry Cylance公司称泄露数据出自第三方合作平台

https://www.bleepingcomputer.com/news/security/cylance-confirms-data-breach-linked-to-third-party-platform/

网络安全公司Cylance确认在黑客论坛上出售的数据是从“第三方平台”窃取的旧数据。名为Sp1d3r的威胁行为者正在以75万美元出售这些被盗数据,这些数据据称包括大量信息,如3400万个客户和员工的电子邮件以及Cylance客户、合作伙伴和员工的个人身份信息。然而,研究人员称泄露的样本似乎是Cylance使用的旧营销数据。该公司称相关数据是从一个与BlackBerry无关的第三方平台访问的,似乎来自2015-2018年,早于BlackBerry收购Cylance产品组合之前。

4、研究人员发现已有数百万次安装的恶意VSCode扩展

https://www.bleepingcomputer.com/news/security/malicious-vscode-extensions-with-millions-of-installs-discovered/

一组以色列研究人员探索了Visual Studio Code市场的安全性,并通过将流行的“Dracula Official”主题的副本特洛伊化为包含风险代码,成功“感染”了超过100个组织。进一步的研究发现,VSCode Marketplace上有数千个扩展程序,安装次数达到了数百万。Visual Studio Code(VSCode)是由微软发布的源代码编辑器,许多专业软件开发人员在全球范围内使用它。微软还运营一个针对IDE的扩展市场,称为Visual Studio Code Marketplace,提供可以扩展应用程序功能并提供更多自定义选项的附加组件。之前的报告指出了VSCode的安全漏洞,包括扩展和发布者冒充以及窃取开发人员身份验证令牌的扩展。此外,确实存在被证实为恶意的野外发现。

5、Chrome 浏览器扩展 EmailGPT 曝出高危零日漏洞

https://www.itsec.ru/news/rasshireniye-emailgpt-dlia-pochti-google-soderzhit-neispravlennuyu-0day-uyazvimost

安全漏洞由 Synopsys 网络安全研究中心的专家发现并上报,追踪为 CVE-2024-5184(CVSS 得分为 6.5),是一个 "提示注入 "类型的漏洞,允许威胁攻击者操纵服务并盗取敏感信息,可能引发知识产权泄露、拒绝服务和大额经济损失。

6、工信部发布关于防范CatDDoS团伙网络攻击的风险提示

https://www.secrss.com/articles/66958

近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,CatDDoS黑客团伙利用知名厂商网络产品安全漏洞传播恶意样本,在全球范围内实施分布式拒绝服务(DDoS)攻击。

7、新型攻击技术“Sleepy Pickle”瞄准机器学习模型

https://thehackernews.com/2024/06/new-attack-technique-sleepy-pickle.html

一种被称为“Sleepy Pickle”的新型“混合机器学习 (ML) 模型利用技术”的发现, Pickle 格式所带来的安全风险再次凸显出来。根据 Trail of Bits 的说法,这种攻击方法利用用于打包和分发机器学习 (ML) 模型的普遍格式来破坏模型本身,对组织的下游客户构成严重的供应链风险。

8、谷歌安卓系统在巴西测试人工智能驱动的新防盗功能

https://cybernews.com/tech/google-android-tests-ai-anti-theft-feature-brazil/

谷歌选择在巴西测试所有安卓智能手机的新人工智能防盗功能,使这个南美国家成为这项新防盗技术的首批试用国。该功能的设计初衷是利用人工智能检测手机是否被盗,一旦检测到,手机就会自动远程锁定主屏幕。

9、卡巴斯基揭露中控考勤终端中的 24 个漏洞

https://www.kaspersky.com/about/press-releases/2024_kaspersky-finds-24-vulnerabilities-in-chinese-biometric-access-systems

卡巴斯基发现国际制造商 ZKTeco 生产的混合生物识别终端存在大量漏洞。通过向数据库添加随机用户数据或使用伪造的二维码,恶意攻击者可以轻松绕过验证过程并获得未经授权的访问权限。攻击者还可以窃取和泄露生物识别数据、远程操纵设备并部署后门。

10、Airbnb等旅游类未经允许收集数据,索取手机权限

https://www.freebuf.com/news/403449.html

据CyberNews独家研究的消息,无论是Booking、Airbnb、希尔顿还是丽笙,这些市场上Top级别的酒店或旅行类相关应用程序都会不同程度地尝试在未询问的情况下获取用户敏感权限及数据。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。